Remus স্টিলার
REMUS নামে পরিচিত একটি নতুন শনাক্তকৃত ইনফোস্টিলার তার দ্রুত বিকাশের গতি, ক্রমবর্ধমান ফিচার সেট এবং একটি পেশাদার ম্যালওয়্যার-অ্যাজ-এ-সার্ভিস (MaaS) অপারেশনের সাথে ক্রমবর্ধমান সাদৃশ্যের কারণে সাইবার অপরাধ জগতে ব্যাপক মনোযোগ আকর্ষণ করেছে। নিরাপত্তা গবেষক এবং ম্যালওয়্যার বিশ্লেষকরা ইতিমধ্যেই REMUS এবং বহুল পরিচিত Lumma Stealer-এর মধ্যেকার সাদৃশ্যগুলো তুলে ধরেছেন, বিশেষ করে ব্রাউজার-টার্গেটিং কৌশল, ক্রেডেনশিয়াল চুরির প্রক্রিয়া এবং এনক্রিপশন-বাইপাস করার ক্ষমতার ক্ষেত্রে।
২০২৬ সালের ১২ই ফেব্রুয়ারি থেকে ৮ই মে পর্যন্ত REMUS অপারেশনের সাথে সংযুক্ত ১২৮টি আন্ডারগ্রাউন্ড পোস্টের পরীক্ষা-নিরীক্ষা থেকে সাইবার অপরাধী মহলে ম্যালওয়্যারটি কীভাবে বাজারজাত, রক্ষণাবেক্ষণ এবং কার্যকর করা হয়েছিল, সে সম্পর্কে মূল্যবান অন্তর্দৃষ্টি পাওয়া যায়। সংগৃহীত উপাদানের মধ্যে ছিল বিজ্ঞাপন, নতুন ফিচারের ঘোষণা, আপডেট লগ, গ্রাহকদের সাথে যোগাযোগ এবং কার্যক্রম সংক্রান্ত আলোচনা, যা গবেষকদের প্ল্যাটফর্মটির বিবর্তন অনুসরণ করতে এবং এর উন্নয়নকে প্রভাবিতকারী অগ্রাধিকারগুলো শনাক্ত করতে সাহায্য করেছে।
এই অনুসন্ধানগুলো একটি সাধারণ তথ্যচোর অভিযানের চেয়েও অনেক বেশি কিছু প্রকাশ করে। রেমাস সাইবার অপরাধ জগতের মধ্যে ঘটে চলা একটি ব্যাপকতর রূপান্তরকে তুলে ধরে, যেখানে ম্যালওয়্যার পরিচালনাকারী সংস্থাগুলো ক্রমাগত আপডেট, গ্রাহক পরিষেবা, কার্যক্রমের সর্বোত্তম ব্যবহার এবং দীর্ঘমেয়াদী অর্থ উপার্জনের কৌশলের মাধ্যমে ক্রমশ বৈধ সফটওয়্যার কোম্পানিগুলোর মতো হয়ে উঠছে।
সুচিপত্র
আক্রমণাত্মক উন্নয়ন চক্র পরিপক্ক MaaS অপারেশনের সংকেত দেয়
রেমাস অপারেশনটি একটি অস্বাভাবিকভাবে সংক্ষিপ্ত এবং অত্যন্ত আক্রমণাত্মক উন্নয়ন সময়সূচী প্রদর্শন করেছিল। অপারেটররা একটি স্থির ম্যালওয়্যার পণ্য প্রচার করার পরিবর্তে, মাত্র কয়েক মাসের মধ্যে ক্রমাগত এর পরিমার্জন, সংগ্রহের উন্নতি এবং ব্যবস্থাপনার বৈশিষ্ট্য প্রকাশ করেছিল।
২০২৬ সালের ফেব্রুয়ারিতে ম্যালওয়্যারটির প্রথম বাণিজ্যিক উন্মোচন ঘটে। প্রাথমিক প্রচারণায় ব্যবহারের সহজতা, ব্রাউজার ক্রেডেনশিয়াল চুরি, কুকি সংগ্রহ, ডিসকর্ড টোকেন চুরি, টেলিগ্রামে প্রেরণ এবং লগ ব্যবস্থাপনার কার্যকারিতার উপর ব্যাপকভাবে জোর দেওয়া হয়েছিল। বিপণনের ভাষায় নির্ভরযোগ্যতা এবং সহজলভ্যতার উপর জোরালোভাবে গুরুত্ব দেওয়া হয়, যার মধ্যে এই দাবিও অন্তর্ভুক্ত ছিল যে, কার্যকর ক্রিপ্টিং এবং মধ্যবর্তী সার্ভার পরিকাঠামোর সাথে যুক্ত হলে ম্যালওয়্যারটি প্রায় '৯০%' সফল কলব্যাক হার অর্জন করে। অপারেটররা '২৪/৭ সাপোর্ট' এবং সরলীকৃত ব্যবহারযোগ্যতারও প্রচার করেছিল, যা ইঙ্গিত দেয় যে শুরু থেকেই বাণিজ্যিকীকরণ এবং গ্রাহক অভিজ্ঞতা ছিল প্রধান অগ্রাধিকার।
মার্চ ২০২৬ ক্যাম্পেইনটির সবচেয়ে সক্রিয় উন্নয়ন পর্যায়ে পরিণত হয়। এই সময়ে, ম্যালওয়্যারটি সাধারণ ক্রেডেনশিয়াল চুরির গণ্ডি পেরিয়ে একটি বৃহত্তর অপারেশনাল প্ল্যাটফর্মে প্রসারিত হয়। আপডেটগুলোর মাধ্যমে রিস্টোর-টোকেন সক্ষমতা, কর্মী ট্র্যাকিং, পরিসংখ্যান ড্যাশবোর্ড, ডুপ্লিকেট-লগ ফিল্টারিং, লোডার ভিজিবিলিটির উন্নতি এবং উন্নত টেলিগ্রাম ডেলিভারি ওয়ার্কফ্লো যুক্ত করা হয়। বেশ কিছু ঘোষণায় শুধুমাত্র ডেটা চুরির পরিবর্তে ক্যাম্পেইন ব্যবস্থাপনা এবং অপারেশনাল পর্যবেক্ষণের উপর বিশেষভাবে আলোকপাত করা হয়, যা স্কেলেবিলিটি এবং অ্যাডমিনিস্ট্রেশনের দিকে একটি কৌশলগত পরিবর্তনের ইঙ্গিত দেয়।
এপ্রিল ২০২৬-এ সেশন ধারাবাহিকতা এবং ব্রাউজার-সাইড প্রমাণীকরণ ব্যবস্থার উপর আরও জোরালো গুরুত্ব আরোপ করা হয়। এই অপারেশনে SOCKS5 প্রক্সি সামঞ্জস্যতা, ভার্চুয়াল মেশিন-বিরোধী কার্যকারিতা, গেমিং প্ল্যাটফর্মকে লক্ষ্য করে নজরদারি, উন্নত টোকেন পুনরুদ্ধার এবং পাসওয়ার্ড ম্যানেজার-সম্পর্কিত তথ্য সংগ্রহের পদ্ধতি যুক্ত করা হয়। একটি আপডেটে 1Password এবং LastPass-এর সাথে যুক্ত ব্রাউজার এক্সটেনশনগুলোকে লক্ষ্য করে IndexedDB সংগ্রহের কথা স্পষ্টভাবে উল্লেখ করা হয়, অন্যদিকে অন্যান্য ঘোষণায় Bitwarden-সম্পর্কিত অনুসন্ধানের কথা বলা হয়। এই পরিবর্তনগুলো শুধু ইউজারনেম এবং পাসওয়ার্ড সংগ্রহের পরিবর্তে প্রমাণীকৃত অ্যাক্সেস সংরক্ষণের উপর ক্রমবর্ধমান মনোযোগকে তুলে ধরে।
২০২৬ সালের মে মাসের শুরুর দিকে, ক্যাম্পেইনটি দ্রুত সম্প্রসারণ পর্যায় থেকে পরিচালনগত স্থিতিশীলতার দিকে অগ্রসর হতে শুরু করে। অবশিষ্ট আপডেটগুলো মূলত বাগ সংশোধন, অপটিমাইজেশন প্রচেষ্টা, পুনরুদ্ধার ব্যবস্থার উন্নতি এবং ব্যবস্থাপনার সূক্ষ্মকরণের উপর কেন্দ্র করে করা হয়েছিল, যা থেকে বোঝা যায় যে প্ল্যাটফর্মটি একটি রক্ষণাবেক্ষণ এবং পরিবর্ধনযোগ্যতা পর্যায়ে প্রবেশ করেছে।
লুম্মার বাইরে: রেমাস একটি বাণিজ্যিক সাইবার অপরাধ পরিষেবাতে রূপান্তরিত হচ্ছে
জনসমক্ষে প্রকাশিত প্রতিবেদনে প্রায়শই রেমাসকে লুম্মা স্টিলারের একটি প্রযুক্তিগতভাবে গুরুত্বপূর্ণ উত্তরসূরি বা ভ্যারিয়েন্ট হিসেবে তুলে ধরা হয়েছে। বিশ্লেষকরা এই ম্যালওয়্যারটিকে একটি ৬৪-বিট ইনফোস্টিলার হিসেবে বর্ণনা করেছেন, যার সাথে লুম্মার বেশ কিছু বৈশিষ্ট্যের মিল রয়েছে; যার মধ্যে অন্তর্ভুক্ত হলো ব্রাউজার-কেন্দ্রিক ক্রেডেনশিয়াল চুরি, অ্যান্টি-ভিএম চেক এবং এনক্রিপশন বাইপাস করার কার্যকারিতা।
তবে, গোপন যোগাযোগ থেকে বোঝা যায় যে এই কার্যক্রমটি কেবল প্রযুক্তিগত বংশধারার মধ্যেই সীমাবদ্ধ নয়, বরং এর পরিধি আরও অনেক বিস্তৃত। রেমাস অপারেটররা ধারাবাহিকভাবে ম্যালওয়্যারটিকে একটি পেশাদারভাবে পরিচালিত সাইবার ক্রাইম পণ্য হিসেবে বাজারজাত করেছে, যা অবিরাম আপডেট, কার্যক্ষমতার উন্নতি, গ্রাহক সহায়তা এবং বর্ধিত তথ্য সংগ্রহের ক্ষমতা দ্বারা সমর্থিত। তাদের যোগাযোগের ধরণটি বৈধ সফটওয়্যার ডেভেলপমেন্ট পরিবেশের সাথে ঘনিষ্ঠভাবে সাদৃশ্যপূর্ণ ছিল, যেখানে গ্রাহক ধরে রাখার ক্ষেত্রে ভার্সনিং, সমস্যা সমাধান এবং ফিচার রোডম্যাপ একটি গুরুত্বপূর্ণ ভূমিকা পালন করে।
ডেলিভারির সফলতার হার, পরিচালনগত নির্ভরযোগ্যতা এবং অবকাঠামোর সর্বোত্তমকরণের উপর বারবার জোর দেওয়াটা সম্ভাব্য ক্রেতা ও অ্যাফিলিয়েটদের মধ্যে আস্থা তৈরির একটি সুস্পষ্ট প্রচেষ্টা প্রদর্শন করে। একটি স্বতন্ত্র ম্যালওয়্যার এক্সিকিউটেবল হিসেবে কাজ করার পরিবর্তে, রেমাস ক্রমশ নিজেকে একটি পরিবর্ধনযোগ্য অপরাধমূলক প্ল্যাটফর্ম হিসেবে প্রতিষ্ঠিত করে, যা টেকসই সাইবার অপরাধমূলক কার্যকলাপকে সমর্থন করার জন্য ডিজাইন করা হয়েছে।
প্রচলিত ক্রেডেনশিয়াল সংগ্রহের চেয়ে সেশন চুরি আরও মূল্যবান হয়ে উঠছে
রেমাস অভিযান জুড়ে পরিলক্ষিত অন্যতম গুরুত্বপূর্ণ বিষয় ছিল সেশন চুরি এবং প্রমাণীকৃত অ্যাক্সেসের ধারাবাহিকতার উপর ক্রমবর্ধমান গুরুত্ব।
ঐতিহাসিকভাবে, অনেক তথ্যচোর প্রধানত ইউজারনেম এবং পাসওয়ার্ড সংগ্রহের উপর মনোযোগ দিত। তবে, রেমাস ধারাবাহিকভাবে ব্রাউজার কুকি, অথেনটিকেশন টোকেন, সক্রিয় সেশন, প্রক্সি-সহায়তায় পুনরুদ্ধার প্রক্রিয়া এবং ব্রাউজারে সংরক্ষিত অথেনটিকেশন আর্টিফ্যাক্টকে অগ্রাধিকার দিত। একেবারে প্রথম দিকের প্রচারমূলক সামগ্রী থেকেই, প্রমাণীকৃত সেশন পরিচালনাকে এই ম্যালওয়্যারটির অন্যতম প্রধান আকর্ষণ বলে মনে হয়েছিল।
এই প্রবণতাটি ভূগর্ভস্থ সাইবার অপরাধ জগতের একটি ব্যাপক রূপান্তরকে প্রতিফলিত করে। চুরি করা প্রমাণীকৃত সেশনগুলো ক্রমশ মূল্যবান হয়ে উঠেছে, কারণ এগুলো মাল্টি-ফ্যাক্টর অথেনটিকেশন প্রম্পট, ডিভাইস যাচাইকরণ পরীক্ষা, লগইন সতর্কতা এবং ঝুঁকি-ভিত্তিক প্রমাণীকরণ সিস্টেমগুলোকে বাইপাস করতে পারে। ভবিষ্যতের লগইন প্রচেষ্টার জন্য শুধুমাত্র চুরি করা ক্রেডেনশিয়ালের উপর নির্ভর করার পরিবর্তে, হুমকিদাতারা ক্রমবর্ধমানভাবে ইতিমধ্যেই প্রমাণীকৃত পরিবেশে সরাসরি অ্যাক্সেস চাইছে।
REMUS-এর বেশ কয়েকটি আপডেটে টোকেন পুনরুদ্ধার প্রক্রিয়ার সময় রিস্টোর কার্যকারিতা, প্রক্সি সামঞ্জস্যতা এবং একাধিক ধরনের প্রক্সির সমর্থনের ওপর বিশেষভাবে আলোকপাত করা হয়েছিল। এই বৈশিষ্ট্যগুলো জোরালোভাবে ইঙ্গিত দেয় যে, সেশন সংরক্ষণ এই ম্যালওয়্যারটির কার্যপ্রণালীর একটি কেন্দ্রীয় উপাদান ছিল।
এই ক্যাম্পেইনটি এমন প্ল্যাটফর্মগুলোকেও লক্ষ্যবস্তু করেছিল যেখানে সক্রিয় সেশনগুলোর বিশেষ মূল্য রয়েছে, যার মধ্যে ডিসকর্ড, স্টিম, রায়ট গেমস এবং টেলিগ্রাম-সংযুক্ত পরিষেবাগুলো অন্তর্ভুক্ত। ব্যাপক কুকি সংগ্রহ এবং পুনরুদ্ধার কার্যকারিতার সাথে মিলিত হয়ে, ম্যালওয়্যারটিকে কেবল ক্রেডেনশিয়াল চুরি করার জন্যই নয়, বরং প্রমাণীকৃত অ্যাক্সেসকে নিজেই সংরক্ষণ এবং কার্যকর করার জন্য তৈরি করা হয়েছিল বলে মনে হয়।
পাসওয়ার্ড ম্যানেজার ও ব্রাউজার স্টোরেজ প্রধান লক্ষ্যবস্তুতে পরিণত হচ্ছে
এই প্রচারণার শেষ পর্যায়ের সবচেয়ে গুরুত্বপূর্ণ অগ্রগতিগুলোর মধ্যে একটি ছিল পাসওয়ার্ড-ব্যবস্থাপনা ইকোসিস্টেমের সাথে যুক্ত ব্রাউজার-সাইড স্টোরেজ। ২০২৬ সালের এপ্রিল নাগাদ, REMUS অপারেটররা Bitwarden, 1Password, LastPass, এবং IndexedDB ব্রাউজার স্টোরেজ ব্যবস্থার সাথে সংযুক্ত কার্যকারিতার বিজ্ঞাপন দিচ্ছিল।
আধুনিক পাসওয়ার্ড ম্যানেজারগুলো ক্রেডেনশিয়াল, অথেনটিকেশন টোকেন এবং সংবেদনশীল অ্যাকাউন্ট তথ্যের অত্যন্ত কেন্দ্রীভূত ভান্ডার হিসেবে কাজ করে, যা এগুলোকে সাইবার অপরাধমূলক কার্যকলাপের জন্য আকর্ষণীয় লক্ষ্যে পরিণত করে। IndexedDB-এর উল্লেখগুলো বিশেষভাবে তাৎপর্যপূর্ণ, কারণ আধুনিক ব্রাউজার এক্সটেনশন এবং ওয়েব অ্যাপ্লিকেশনগুলো প্রায়শই সেশন তথ্য ও অ্যাপ্লিকেশন ডেটা সংরক্ষণের জন্য স্থানীয় ব্রাউজার স্টোরেজের উপর নির্ভর করে।
যদিও বিশ্লেষিত পোস্টগুলো স্বতন্ত্রভাবে পাসওয়ার্ড ভল্টের সফল ডিক্রিপশন বা পাসওয়ার্ড ম্যানেজারের সরাসরি লঙ্ঘনের বিষয়টি নিশ্চিত করে না, তবুও এগুলো স্পষ্টভাবে প্রমাণ করে যে REMUS-এর উন্নয়ন পাসওয়ার্ড-ব্যবস্থাপনা পরিবেশের সাথে সংযুক্ত ব্রাউজার-সাইড স্টোরেজ আর্টিফ্যাক্ট সংগ্রহের দিকে সরে গিয়েছিল।
রেমাস আধুনিক সাইবার অপরাধের পেশাদারীকরণের উপর আলোকপাত করে
REMUS প্রচারাভিযানটি একটি সুস্পষ্ট উদাহরণ তুলে ধরে যে, কীভাবে আধুনিক MaaS ইকোসিস্টেমগুলো ক্রমশ কাঠামোগত সফটওয়্যার এন্টারপ্রাইজের মতো হয়ে উঠছে।
বিশ্লেষিত ভূগর্ভস্থ যোগাযোগ ব্যবস্থা জুড়ে অপারেটররা ধারাবাহিকভাবে সংস্করণভিত্তিক আপডেট, সমস্যা সমাধানের নির্দেশিকা, বাগ ফিক্স, ফিচারের উন্নয়ন, পরিসংখ্যানের উন্নতি এবং অপারেশনাল দৃশ্যমানতার পরিমার্জন প্রকাশ করেছেন। কর্মী, ড্যাশবোর্ড, লগ শ্রেণীকরণ, লোডার পর্যবেক্ষণ এবং ব্যবস্থাপনার দৃশ্যমানতার উল্লেখগুলো বিশেষায়িত অপারেশনাল ভূমিকা সহ একটি বহু-অপারেটর পরিবেশের উপস্থিতিও নির্দেশ করে।
REMUS-এর পেশাদার MaaS কাঠামোর প্রধান সূচকগুলো হলো:
- ক্রমাগত বৈশিষ্ট্য উন্নয়ন এবং সংস্করণভিত্তিক আপডেট চক্র
- গ্রাহক-কেন্দ্রিক সহায়তা এবং ব্যবহারযোগ্যতার উন্নতি
- অপারেশনাল ড্যাশবোর্ড, কর্মী ট্র্যাকিং এবং পরিসংখ্যান পর্যবেক্ষণ
- স্থায়ী অ্যাক্সেসের জন্য ডিজাইন করা সেশন পুনরুদ্ধার কর্মপ্রবাহ
- পাসওয়ার্ড-ব্যবস্থাপনা ইকোসিস্টেমের সাথে যুক্ত ব্রাউজার-সাইড স্টোরেজ টার্গেটিং
রেমাস তথ্যচোরদের কার্যক্রমের ভবিষ্যৎ দিকনির্দেশনা প্রতিফলিত করে।
রেমাস অপারেশনটি দেখায় যে কীভাবে আধুনিক তথ্যচোরেরা সাধারণ ক্রেডেনশিয়াল চুরির গণ্ডি পেরিয়ে দ্রুত এমন ব্যাপক অপারেশনাল প্ল্যাটফর্মে রূপান্তরিত হচ্ছে, যা স্থায়িত্ব, স্বয়ংক্রিয়তা, পরিবর্ধনযোগ্যতা এবং দীর্ঘমেয়াদী নগদীকরণের জন্য নির্মিত।
মাত্র কয়েক মাসের মধ্যেই, এই ক্যাম্পেইনটি সাধারণ ম্যালওয়্যার প্রচার থেকে একটি পরিণত MaaS ইকোসিস্টেমে রূপান্তরিত হয়েছে, যা পরিচালনগত নির্ভরযোগ্যতা, প্রমাণীকৃত সেশন সংরক্ষণ এবং পরিবর্ধনযোগ্য ডেটা সংগ্রহের ক্ষমতার উপর জোর দেয়। টোকেন পুনরুদ্ধার, প্রক্সি-সহায়তায় সেশন পুনরুদ্ধার এবং ব্রাউজার-সাইড প্রমাণীকরণ আর্টিফ্যাক্টগুলোর উপর ক্রমবর্ধমান মনোযোগ সাইবার অপরাধ কার্যক্রমের মধ্যে একটি বৃহত্তর পরিবর্তনের ইঙ্গিত দেয়, যা কেবল পাসওয়ার্ড চুরির উপর থেকে সরে এসে প্রমাণীকৃত পরিবেশে নিরবচ্ছিন্ন অ্যাক্সেস বজায় রাখার দিকে ধাবিত হচ্ছে।
রেমাস অভিযান থেকে বেশ কিছু বৃহত্তর তাৎপর্য উঠে আসে:
- স্বতন্ত্র ক্রেডেনশিয়ালের চেয়ে অথেনটিকেটেড সেশনগুলো আরও মূল্যবান হয়ে উঠছে।
- ব্রাউজার-সাইড স্টোরেজ এবং পাসওয়ার্ড-ম্যানেজার ইকোসিস্টেমগুলো ক্রমবর্ধমানভাবে লক্ষ্যবস্তু হচ্ছে
- MaaS কার্যক্রম এখন গঠন ও কর্মপ্রবাহের দিক থেকে বৈধ সফটওয়্যার ব্যবসাগুলোর অনুরূপ।
- সাইবার অপরাধী গোষ্ঠীগুলোর জন্য কার্যক্রমের পরিধি বৃদ্ধি এবং স্থায়িত্ব প্রধান অগ্রাধিকার হয়ে উঠছে।
রেমাস অভিযানটি পরিশেষে সাইবার নিরাপত্তার একটি গুরুত্বপূর্ণ বাস্তবতাকে আরও জোরদার করে: হুমকি সৃষ্টিকারীরা কীভাবে ম্যালওয়্যার ইকোসিস্টেমকে বাণিজ্যিকীকরণ, কার্যকর এবং প্রসারিত করে, তা বোঝা এখন ম্যালওয়্যার কোড বিশ্লেষণের মতোই গুরুত্বপূর্ণ হয়ে উঠছে।
